安全性的數據控管最佳做法
本文提供適用於 Microsoft Purview 治理解決方案之常見安全性需求的最佳做法。 所述的安全性策略遵循分層式深層防禦方法。
注意事項
這些最佳做法涵蓋 Microsoft Purview 數據控管解決方案的安全性。 深入瞭解 一般Microsoft Purview,或特別了解 風險和合規性解決方案 。
將這些建議套用至您的環境之前,您應該先洽詢安全性小組,因為有些可能不適用於您的安全性需求。
網路安全性
您可以針對 Microsoft Purview 資料對應啟用下列網路安全性功能:
- 使用 Private Link 服務啟用端對端網路隔離。
- 使用 Microsoft Purview 防火牆 來停用公用存取。
- 針對部署 Azure 數據源私人端點、Microsoft Purview 私人端點和自我裝載運行時間 VM 的子網,部署網路安全 組 (NSG) 規則 。
- 使用網路虛擬設備所管理的私人端點實作 Microsoft Purview,例如網路檢查和網路篩選的 Azure 防火牆。
如需詳細資訊,請參閱與 Azure PaaS 服務連線相關的最佳做法。
為 Microsoft Purview 帳戶部署私人端點
如果您需要從專用網內使用 Microsoft Purview,建議使用 Azure Private Link 服務搭配您的 Microsoft Purview 帳戶進行部分或端對端隔離,以連線到 Microsoft Purview 治理入口網站、存取 Microsoft Purview 端點,以及掃描數據源。
Microsoft Purview 帳戶 私人端點可用來新增另一層安全性,因此只有來自虛擬網路內的用戶端呼叫才能存取 Microsoft Purview 帳戶。 此私人端點也是入口網站私人端點的必要條件。
需要Microsoft Purview 入口 網站 私人端點,才能啟用使用專用網Microsoft Purview 治理入口網站的連線。
Microsoft Purview 可以使用擷取私人端點來掃描 Azure 或內部部署環境中的數據源。
如需詳細資訊, 請參閱 Microsoft Purview 網路架構和最佳做法。
使用 Purview 防火牆Microsoft封鎖公用存取
您可以停用 Microsoft Purview 公用存取權,以完全從公用因特網截斷對 Microsoft Purview 帳戶的存取。 在此情況下,您應該考慮下列需求:
- Microsoft必須根據 端對端網路隔離案例來部署 Purview。
- 若要存取 Microsoft Purview 治理入口網站和 Microsoft Purview 端點,您必須使用連線到專用網的管理機器,透過專用網存取 Microsoft Purview。
- 檢閱 已知限制。
如需詳細資訊,請參閱 限制公用存取的防火牆。
使用網路安全性 群組
您可以使用 Azure 網路安全組來篩選 Azure 虛擬網路中 Azure 資源的網路流量。 網路安全組包含 安全性規則 ,可允許或拒絕數種 Azure 資源類型的輸入網路流量或輸出網路流量。 您可以針對每個規則指定來源和目的地、埠和通訊協定。
網路安全性 群組 可以套用至網路介面或 Azure 虛擬網路子網,其中會部署 Microsoft Purview 私人端點、自我裝載整合運行時間 VM 和 Azure 數據源。
如需詳細資訊,請參閱 為私人端點套用NSG規則。
在 數據源 上需要下列 NSG 規則,才能Microsoft Purview 掃描:
| 方向 | 來源 | 來源埠範圍 | Destination | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 入境 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | 數據源私人IP位址或子網 | 443 | 任何 | 允許 |
從 管理機器 存取 Purview 治理入口網站Microsoft需要下列 NSG 規則:
| 方向 | 來源 | 來源埠範圍 | Destination | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 出埠 | 管理計算機的私人IP位址或子網 | * | Microsoft Purview 帳戶和入口網站私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
| 出埠 | 管理計算機的私人IP位址或子網 | * | 服務標籤: AzureCloud |
443 | 任何 | 允許 |
自我 裝載整合運行時間 VM 上需要下列 NSG 規則,才能Microsoft Purview 掃描和元數據擷取:
重要事項
請考慮根據您的數據源類型,新增具有相關服務標籤的其他規則。
| 方向 | 來源 | 來源埠範圍 | Destination | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 出埠 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | 數據源私人IP位址或子網 | 443 | 任何 | 允許 |
| 出埠 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
| 出埠 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: Servicebus |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: Storage |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: AzureActiveDirectory |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: DataFactory |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: KeyVault |
443 | 任何 | 允許 |
Microsoft Purview 帳戶、入口網站和擷取私人端點需要下列 NSG 規則:
| 方向 | 來源 | 來源埠範圍 | Destination | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 入境 | 自我裝載整合運行時間 VM 的私人 IP 位址或子網 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
| 入境 | 管理計算機的私人IP位址或子網 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
如需詳細資訊,請 參閱自我裝載整合運行時間網路需求。
存取管理
身分識別和存取管理提供大量安全性保證的基礎。 它會根據雲端服務中的身分識別驗證和授權控制來啟用存取。 這些控制件會保護數據和資源,並決定應該允許哪些要求。
與 Purview 中的角色和存取管理Microsoft相關,您可以套用下列安全性最佳做法:
- 定義在控制平面和數據平面中管理 Microsoft Purview 的角色和責任:
- 定義在 Azure 訂用帳戶內部署和管理 Microsoft Purview 所需的角色和工作。
- 使用 Microsoft Purview 來定義執行數據管理和治理所需的角色和工作。
- 將角色指派給 Microsoft Entra 群組,而不是將角色指派給個別使用者。
- 使用 Azure Active Directory 權利管理,將使用者存取權對應至使用存取套件 Microsoft Entra 群組。
- 對 Microsoft Purview 使用者強制執行多重要素驗證,特別是針對具有特殊許可權角色的使用者,例如集合管理員、數據源管理員或數據編者。
在控制平面和數據平面中管理 Microsoft Purview 帳戶
控制平面是指與 Azure Resource Manager 內 Microsoft Purview 的 Azure 部署和管理相關的所有作業。
數據平面是指與數據對應和 整合式目錄 內Microsoft Purview 互動的所有作業。
您可以從與 Purview 實例的 Azure 訂用帳戶相關 Microsoft聯的 Microsoft Entra 租使用者,將控制平面和數據平面角色指派給使用者、安全組和服務主體。
控制平面作業和數據平面作業的範例:
| 工作 | 範圍 | 建議的角色 | 要使用哪些角色? |
|---|---|---|---|
| 部署 Microsoft Purview 帳戶 | 控制平面 | Azure 訂用帳戶擁有者或參與者 | Azure RBAC 角色 |
| 設定 Purview Microsoft私人端點 | 控制平面 | 投稿者 | Azure RBAC 角色 |
| 刪除 Microsoft Purview 帳戶 | 控制平面 | 投稿者 | Azure RBAC 角色 |
| 新增或管理 自我載入整合執行時間 (SHIR) | 控制平面 | 數據源管理員 | Microsoft Purview 角色 |
| 檢視 Microsoft Purview 計量以取得目前的容量單位 | 控制平面 | 讀者 | Azure RBAC 角色 |
| 建立集合 | 數據平面 | 集合 管理員 | Microsoft Purview 角色 |
| 註冊數據源 | 數據平面 | 集合 管理員 | Microsoft Purview 角色 |
| 掃描 SQL Server | 數據平面 | 數據源管理員和數據讀取者或數據編者 | Microsoft Purview 角色 |
| 在 Microsoft Purview 整合式目錄 內搜尋 | 數據平面 | 數據源管理員和數據讀取者或數據編者 | Microsoft Purview 角色 |
Microsoft Purview 平面角色是在 Purview 集合中Microsoft Purview 實例內定義和管理Microsoft。 如需詳細資訊,請參閱 Microsoft Purview 中的訪問控制。
請遵循Microsoft Purview 數據控管角色,以取得使用者角色和許可權的指引,以在 整合式目錄 中管理。
請遵循 Azure 控制平面工作的 Azure 角色型存取建議 。
驗證和授權
若要存取 Microsoft Purview,用戶必須經過驗證和授權。 驗證是證明使用者是其所宣告身分的程式。 授權是指在集合上指派Microsoft Purview 內控制存取權。
我們使用 Microsoft Entra ID,為集合內Microsoft Purview 提供驗證和授權機制。 您可以從與託管 Microsoft Purview 實例的 Azure 訂用帳戶相關聯的 Microsoft Entra 租使用者,將 Microsoft Purview 角色指派給下列安全性主體:
- 用戶和來賓使用者 (是否已新增至您的 Microsoft Entra 租使用者)
- 安全性群組
- 受控識別
- 服務主體
Microsoft Purview 更細緻的角色可以指派給 Microsoft Purview 實例內的彈性集合階層。
定義最低許可權模型
一般而言,對於想要強制執行數據存取安全策略的組織而言,根據 知道 和 最低權 限安全策略來限制存取權是必要的。
在 Microsoft Purview 中,可以使用 Purview 集合Microsoft組織數據源、資產和掃描。 集合是 Microsoft Purview 中元數據的階層式群組,但同時提供一個機制來管理跨 Microsoft Purview 的存取權。 Microsoft Purview 中的角色可以根據集合的階層指派給集合。
使用 Microsoft Purview 集合 ,根據最低許可權模型,實作您組織的元數據階層,以進行集中式或委派的管理和治理階層。
在 Purview 集合內指派角色時,請遵循最低許可權存取模型 Microsoft,方法是區隔小組內的職責,並只授與使用者執行其工作所需的存取權。
如需如何根據 Microsoft Purview 集合階層,在 Microsoft Purview 中指派最低許可權存取模型的詳細資訊,請參閱 Purview 中Microsoft訪問控制。
降低特殊許可權帳戶的曝光率
保護特殊許可權存取權是保護商務資產的重要第一步。 將可存取安全資訊或資源的人數降到最低、減少惡意使用者取得存取權的機會,或授權使用者不小心影響敏感性資源的機會。
減少在 Microsoft Purview 實例內具有寫入許可權的用戶數目。 將集合管理員和數據編者角色的數目保持在根集合的最小值。
使用多重要素驗證和條件式存取
Microsoft Entra 多重要素驗證提供另一層安全性和驗證。 為了提高安全性,建議您針對所有特殊許可權帳戶強制執行 條件式存取 原則。
使用 Microsoft Entra 條件式存取原則,在登入時為指派給 Microsoft Purview 角色的所有個別使用者套用 Microsoft Entra 多重要素驗證,並修改Microsoft Purview 實例內的存取權:集合 管理員、數據源 管理員、數據編者。
為您的系統管理員帳戶啟用多重要素驗證,並確保系統管理員帳戶用戶已註冊 MFA。
您可以選取 [Microsoft Purview] 作為雲端應用程式,以定義條件式存取原則。
防止意外刪除 Microsoft Purview 帳戶
在 Azure 中,您可以將 資源鎖定 套用至 Azure 訂用帳戶、資源群組或資源,以防止意外刪除或修改重要資源。
為您的 Microsoft Purview 帳戶啟用 Azure 資源鎖定,以防止意外刪除 Azure 訂用帳戶中Microsoft Purview 實例。
CanNotDelete將 或 ReadOnly 鎖定新增至 Microsoft Purview 帳戶並不會防止在 Purview 數據平面Microsoft內進行刪除或修改作業,不過,它會防止控制平面中的任何作業,例如刪除 Microsoft Purview 帳戶、部署私人端點或設定診斷設定。
如需詳細資訊,請 參閱瞭解鎖定的範圍。
資源鎖定可以指派給 Microsoft Purview 資源群組或資源,不過,您無法將 Azure 資源鎖定指派給 Microsoft Purview 受控資源或受控資源群組。
實作急用策略
規劃 Microsoft Entra 租使用者、Azure 訂用帳戶和 Microsoft Purview 帳戶的急用策略,以防止全租用戶帳戶鎖定。
如需 Microsoft Entra ID 和 Azure 緊急存取規劃的詳細資訊,請參閱管理 Microsoft Entra ID 中的緊急存取帳戶。
如需 Microsoft Purview 急用程式策略的詳細資訊,請 參閱 Microsoft Purview 集合最佳做法和設計建議。
威脅防護和防止數據外洩
Microsoft Purview 可讓您深入了解數據的敏感度,讓安全性小組使用雲端 Microsoft Defender 來管理組織的安全性狀態,並防範其工作負載的威脅, 數據資源仍然是惡意執行者的熱門目標,因此安全性小組必須識別、排定優先順序,並保護其雲端環境中的敏感數據資源。 為了解決此挑戰,我們宣佈雲端 Microsoft Defender 與公開預覽版 Microsoft Purview 之間的整合。
與適用於雲端的 Microsoft 365 和 Microsoft Defender 整合
通常,公司中安全性組織最大的挑戰之一,就是根據資產重要性和敏感度來識別和保護資產。 Microsoft最近宣佈在公開預覽版中整合 Microsoft Purview 與雲端 Microsoft Defender,以協助克服這些挑戰。
如果您已在 Microsoft Purview 中擴充資產和資料庫數據行的Microsoft 365 敏感度標籤,您可以根據偵測到的資產敏感度標籤,使用雲端 Microsoft Defender 來追蹤高價值資產。
針對建議,我們提供了 安全性控制 措施,協助您瞭解每個建議對於整體安全性狀態的重要性。 雲端 Microsoft Defender 包含每個控件的安全分數值,可協助您排定安全性工作的優先順序。 深入了解 安全性控件及其建議。
針對警示,我們已將 嚴重性標籤 指派給每個警示,以協助您排定每個警示處理順序的優先順序。 如需深入瞭解, 請參閱如何分類警示?。
如需詳細資訊,請 參閱整合 Microsoft Purview 與 Azure 安全性產品。
資訊保護
安全的元數據擷取和儲存
Microsoft Purview 是雲端中的數據控管解決方案。 您可以從內部部署、Azure 或多重雲端環境的各種數據系統,將不同的數據源註冊並掃描到 Microsoft Purview。 當數據源在 Microsoft Purview 中註冊並掃描時,實際數據和數據源會保留在其原始位置,只有元數據會從數據源擷取並儲存在 Microsoft Purview 資料對應 中,這表示您不需要將數據移出區域或其原始位置,即可將元數據擷取至 Microsoft Purview。
如果您的帳戶是在 2023 年 12 月 15 日 之前 建立的,則您的帳戶會與受控資源群組一起部署,而 Azure 儲存器帳戶已部署在該群組中。 Microsoft Purview 會取用這些資源,而且任何其他使用者或主體都無法存取這些資源。 部署 Microsoft Purview 帳戶時,會自動將 RBAC) 拒絕指派 (Azure 角色型存取控制新增至此資源群組,並防止其他使用者或Microsoft Purview 未起始的任何 CRUD 作業存取。
在 2023 年 12 月 15 日 之後 部署的帳戶 (或使用 API 2023-05-01-preview 版部署,) 使用內部Microsoft Azure 訂用帳戶中部署的擷取記憶體帳戶。 由於這些資源不在 Microsoft Purview 的 Azure 訂用帳戶上,因此除了 Microsoft Purview 帳戶以外,任何其他使用者或主體都無法存取這些資源。
(如果您已使用 API 部署帳戶,使用 API 2023-05-01-preview 版部署的帳戶將會使用部署在內部Microsoft Azure 訂用帳戶上的擷取記憶體帳戶,而不是部署在 Azure 訂用帳戶上的受控記憶體帳戶。)
元數據儲存在哪裡?
Microsoft Purview 只會在掃描程序期間將不同數據源系統的元數據擷取到 Microsoft Purview 資料對應。
您可以在任何支援的 Azure 區域中的 Azure 訂用帳戶內部署 Microsoft Purview 帳戶。
所有元數據都會儲存在 Microsoft Purview 實例內的數據對應內。 這表示元數據會儲存在與您Microsoft Purview 實例相同的區域中。
如何從數據源擷取元數據?
Microsoft Purview 可讓您使用下列任何選項從數據源擷取元數據:
Azure 運行時間。 元數據會擷取,並在與數據源相同的區域內進行處理。
手動或自動掃描是透過 Azure 整合運行時間從 Microsoft Purview 資料對應 起始。
Azure 整合運行時間會連線到數據源以擷取元數據。
元數據會Microsoft Purview 受控或擷取記憶體中排入佇列,並儲存在 Azure Blob 儲存體 中。
元數據會傳送至 Microsoft Purview 資料對應。
自我裝載整合運行時間。 自我裝載整合運行時間會在自我裝載整合運行時間 VM 的記憶體記憶體記憶體內擷取和處理元數據,然後再將它們傳送至 Microsoft Purview 資料對應。 在此情況下,客戶必須在其 Azure 訂用帳戶或內部部署環境中部署和管理一或多個自我裝載整合運行時間 Windows 虛擬機。 掃描內部部署和 VM 型數據源一律需要使用自我裝載整合運行時間。 這些數據源不支援 Azure 整合運行時間。 下列步驟顯示當您使用自我裝載整合運行時間掃描數據源時,高層級的通訊流程。
會觸發手動或自動掃描。 Microsoft Purview 會連線到 Azure 金鑰保存庫 以擷取認證以存取數據源。
掃描是透過自我裝載整合運行時間從 Microsoft Purview 資料對應 起始。
來自 VM 的自我裝載整合運行時間服務會連線到數據源以擷取元數據。
元數據會在自我裝載整合運行時間的 VM 記憶體中處理。 元數據會Microsoft Purview 擷取記憶體中排入佇列,然後儲存在 Azure Blob 儲存體 中。
元數據會傳送至 Microsoft Purview 資料對應。
如果您需要從敏感數據無法離開內部部署網路界限的數據源擷取元數據,強烈建議您在數據源所在的公司網路內部署自我裝載整合運行時間 VM,以擷取和處理內部部署中的元數據,並只將元數據傳送至 Microsoft Purview。
會觸發手動或自動掃描。 Microsoft Purview 會連線到 Azure 金鑰保存庫 以擷取認證以存取數據源。
掃描是透過內部部署自我裝載整合運行時間起始。
來自 VM 的自我裝載整合運行時間服務會連線到數據源以擷取元數據。
元數據會在自我裝載整合運行時間的 VM 記憶體中處理。 元數據會Microsoft Purview 擷取記憶體中排入佇列,然後儲存在 Azure Blob 儲存體 中。 實際數據永遠不會離開網路的界限。
元數據會傳送至 Microsoft Purview 資料對應。
信息保護和加密
Azure 提供許多機制,讓數據保持在待用狀態,以及在數據從某個位置移至另一個位置時保持私密。 針對 Microsoft Purview,數據會使用Microsoft管理的密鑰進行待用加密,並在數據傳輸時使用傳輸層安全性 (TLS) v1.2 或更新版本來加密。
傳輸層安全性 (傳輸中加密)
傳輸中的數據 (也稱為動作中的數據) 會在 Microsoft Purview 中加密。
若要在訪問控制之外新增另一層安全性,Microsoft Purview 會使用傳輸層安全性 (TLS) 來加密移動中的數據,並保護傳輸中的數據免於受到流量擷取) 等「超出訊號範圍」攻擊 (保護客戶數據。 它會使用加密來確保攻擊者無法輕鬆地讀取或修改數據。
Microsoft Purview 支援傳輸中的數據加密,其傳輸層安全性 (TLS) v1.2 或更新版本。
如需詳細資訊,請參閱加密 傳輸中的敏感性資訊。
透明數據加密 (待用加密)
待用數據報含位於實體媒體上永續性記憶體中的任何數位格式資訊。 媒體可以包含磁性或光學媒體上的檔案、封存的數據,以及 Azure 區域內的數據備份。
若要在訪問控制之外新增另一層安全性,Microsoft Purview 會加密待用數據,以防止「超出範圍」的攻擊 (例如存取基礎記憶體) 。 它會使用加密搭配Microsoft管理的金鑰。 此做法有助於確保攻擊者無法輕鬆地讀取或修改數據。
如需詳細資訊,請 參閱加密待用敏感數據。
選擇性事件中樞命名空間設定
每個Microsoft Purview 帳戶都可以設定可透過其 Atlas Kafka 端點存取的事件中樞。 您可以在 [組態] 底下或從 [Kafka 設定] 下的 Azure 入口網站 啟用此功能。 建議您只在用來將事件散發到 Purview 帳戶數據對應Microsoft或外部時,才啟用選用的 Managed 事件中樞。 若要移除此資訊發佈點,請不要設定這些端點,或將其移除。
若要移除已設定的事件中樞命名空間,您可以遵循下列步驟:
- 在 Azure 入口網站 中搜尋並開啟Microsoft Purview 帳戶。
- 選取 Azure 入口網站 中 [Microsoft Purview 帳戶] 頁面上的 [設定] 底下的 [Kafka 組態]。
- 選取您要停用的事件中樞。 (攔截中樞會將訊息傳送至 Microsoft Purview。通知中樞會接收 notifications.)
- 選 取 [移除 ] 以儲存選擇並開始停用程式。 這可能需要幾分鐘的時間才能完成。
![此螢幕快照顯示 Azure 入口網站 中 [Microsoft Purview 帳戶] 頁面的 [Kafka 設定] 頁面,並醒目提示 [移除] 按鈕。](media/concept-best-practices/select-remove.png)
注意事項
如果您在停用此事件中樞命名空間時有擷取私人端點,在停用擷取私人端點之後,可能會顯示為已中斷連線。
如需設定這些事件中樞命名空間的詳細資訊,請參閱: 設定 Atlas Kafka 的事件中樞主題
身分憑證管理
若要將元數據從數據源系統擷取到 Microsoft Purview 資料對應 中,必須註冊和掃描 Microsoft Purview 資料對應 中的數據源系統。 為了將此程式自動化,我們已在 Microsoft Purview 中為不同的數據源系統提供可用的 連接器 ,以簡化註冊和掃描程式。
若要連線到數據源Microsoft Purview 需要具有數據源系統唯讀存取權的認證。
建議您盡可能優先使用下列認證選項進行掃描:
- Microsoft Purview 受控識別
- 使用者指派的受控識別
- 服務主體
- 其他選項,例如帳戶密鑰、SQL 驗證等。
如果您使用任何選項,而不是受控識別,則所有認證都必須儲存在 Azure 金鑰保存庫內並受到保護。 Microsoft Purview 需要在 Azure 金鑰保存庫 資源上取得/列出秘密的存取權。
一般而言,您可以使用下列選項來設定整合運行時間,並使用認證來掃描數據源系統:
| 案例 | 運行時間選項 | 支援的認證 |
|---|---|---|
| 數據源是 Azure 平臺即服務,例如 Azure Data Lake Storage Gen 2 或公用網路內的 Azure SQL | 選項 1:Azure 運行時間 | 根據 Azure 數據源類型,Microsoft Purview 受控識別、服務主體或存取密鑰/SQL 驗證 () |
| 數據源是 Azure 平臺即服務,例如 Azure Data Lake Storage Gen 2 或公用網路內的 Azure SQL | 選項 2:自我裝載整合運行時間 | 服務主體或存取金鑰/SQL 驗證 (視 Azure 數據來源類型而定) |
| 數據源是 Azure 平臺即服務,例如使用 Azure Private Link Service 在專用網內 Azure Data Lake Storage Gen 2 或 Azure SQL | 自我裝載整合執行階段 | 服務主體或存取金鑰/SQL 驗證 (視 Azure 數據來源類型而定) |
| 數據源位於 Azure IaaS VM 內,例如 SQL Server | 部署在 Azure 中的自我裝載整合運行時間 | SQL 驗證或基本身份驗證 (視 Azure 數據來源類型而定) |
| 數據源位於內部部署系統內,例如 SQL Server 或 Oracle | 部署在 Azure 或內部部署網路中的自我裝載整合運行時間 | SQL 驗證或基本身份驗證 (視 Azure 數據來源類型而定) |
| 多重雲端 | 以數據源類型為基礎的 Azure 執行時間或自我裝載整合運行時間 | 支援的認證選項會根據數據源類型而有所不同 |
| Power BI 租用戶 | Azure 運行時間 | Microsoft Purview 受控識別 |
使用 本指南 深入瞭解每個來源及其支持的驗證選項。
其他建議
套用自我裝載運行時間 VM 的安全性最佳做法
如果使用自我裝載整合運行時間來掃描 Microsoft Purview 中的數據源,請考慮保護 Azure 或內部部署環境中自我裝載整合運行時間 VM 的部署和管理。
針對在 Azure 中部署為虛擬機的自我裝載整合運行時間 VM,請遵循 Windows 虛擬機的安全性最佳做法建議。
- 使用網路安全性 群組 和 Azure Defender Just-in-Time 存取來鎖定 VM 的輸入流量。
- 安裝防病毒軟體或反惡意代碼軟體。
- 部署 Azure Defender 以深入瞭解 VM 上任何潛在的異常狀況。
- 限制自我裝載整合運行時間 VM 中的軟體數量。 雖然針對 Microsoft Purview 的自我裝載運行時間擁有專用 VM 並非必要需求,但我們強烈建議使用專用 VM,特別是針對生產環境。
- 使用 適用於 VM 的 Azure 監視器 監視 VM。 藉由使用 Log Analytics 代理程式,您可以擷取效能計量等內容,以調整 VM 所需的容量。
- 藉由整合虛擬機與適用於雲端的 Microsoft Defender,您可以防止、偵測及回應威脅。
- 讓您的電腦保持最新狀態。 您可以啟用自動 Windows Update,或在 Azure 自動化 中使用更新管理來管理作業系統的作業系統層級更新。
- 使用多部機器來提升復原能力和可用性。 您可以部署和註冊多個自我裝載整合運行時間,將掃描分散到多部自我裝載整合運行時間機器,或在虛擬機擴展集上部署自我裝載整合運行時間,以取得更高的備援和延展性。
- 或者,您可以規劃從自我裝載整合運行時間 VM 啟用 Azure 備份,以在發生 VM 層級災害時增加自我裝載整合運行時間 VM 的復原時間。